Archivi tag: copia forense

Analisi forense di pendrive USB e metadati Word per Le Iene

Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.

Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.

Consulente Informatico per Le Iene su analisi metadati pendrive USB

L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.

L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.

Le Iene - Paolo Dal Checco e analisi forense su metadati di documento Word

Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali

Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.

Paolo Dal Checco - Perito Informatico per Le Iene e analisi dei metadati file word con exiftool

Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.

Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.

In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:

  1. Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
  2. Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
  3. Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).

Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.

Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.

Con le Le Iene sulle tracce dell’hacker dell’autoscuola

Nel mese di ottobre 2025 sono andate in onda le tre puntate del servizio de Le Iene “Chi è l’hacker dell’autoscuola?” dove – come perito informatico per Le Iene – ho aiutato la iena Veronica Ruggeri a capire chi è l’hacker che per oltre un anno fa cyberstalking a due dipendenti di una scuola guida – Chiara e Andrea – accedendo ai sistemi e intercettando comunicazioni, inviando centinaia di messaggi giornalieri e monitorando in tempo reale le vittime.

Le Iene - Chi è l'hacker della scuola guida

Nei servizi andati in onda su Mediaset ho collaborato come consulente informatico forense per Le Iene supportando Veronica Ruggeri nella difficile analisi forense di un caso – un hacker che da un anno e mezzo tormenta i dipendenti di una scuola guida – dove la tecnologia è protagonista di una situazione paradossale.

Il caso dell’hacker dell’autoscuola trattato a Le Iene al quale ho avuto l’opportunità di collaborare come perito informatico ha destato notevole interesse perché contiene numerosi elementi tecnici tipici di situazioni nelle quali le vittime subiscono attacchi informatici che si concretizzano poi in diversi reati, tra i quali reati informatici come quelli di accesso abusivo (art. 615-ter, c.p.), danneggiamento di dati e programmi informatici (art. 635-bis, c.p.), intercettazione di comunicazioni informatiche o telematiche (art. 617-quater, c.p.), interferenze illecite nella vita privata (art. 615-bis, c.p.), installazione di apparecchiature atte a intercettare comunicazioni informatiche o telematiche (art. 617-quinquies, c.p.).

Paolo Dal Checco, Tecnico Informatico Forense per Le Iene

Nell’ambito dei tre servizi andati in onda nel mese di ottobre 2025 sono intervenuto – insieme a parte del team Forenser Srl composto per l’occasione da Matteo Vinci, Daniele Scanu e Marco Musumeci – In qualità di esperto informatico per Le Iene nella fase di ricognizione, intervista ai protagonisti, copia forense di smartphone e PC oltre che analisi forense di PC, smartphone, takeout, account e sistemi per poter arrivare a ricostruire la dinamica degli attacchi informatici subiti.

Durante la prima parte del servizio per Le Iene sull’hacker dell’autoscuola, Veronica Ruggeri fa emergere un quadro preoccupante nel quale i due protagonisti – Andrea e Chiara – illustrano oltre un anno di minacce, email anonime, telefonate, SMS, Whatsapp, messaggi su Instagram, accessi a mailbox, Facebook e social network, conti bancari, modem dell’autoscuola e tante altre superfici d’attacco violate dal misterioso attaccante.

Paolo Dal Checco e Veronica Ruggeri nel servizio per Le Iene sull'hacker dell'autoscuola

Dopo la prima ricognizione con le Iene abbiamo formulato diverse ipotesi operative e iniziato a lavorare sulle copie forensi di PC e smartphone prodotte tramite il software di mobile forensics Oxygen Forensics durante il primo accesso presso la scuola guida.

Copie forensi di smartphone e PC per Le Iene con il software Oxygen Forensics

Durante il secondo accesso sono emersi nuovi indizi, non soltanto informatici, tra i quali un principio d’incendio occorso nei locali dell’autoscuola e un approfondimento di Veronica Ruggeri sulle tempistiche di apertura della serranda dell’autoscuola, per capire come possa essere stata pilotata da remoto una tecnologia che è invece stata progettata per essere gestita soltanto dai telecomandi sincronizzati con la centralina.

Nel terzo servizio de Le Iene sull’hacker dell’autoscuola vengono invece presentati i risultati della perizia informatica svolta uno smarthpone tramite un misto di mobile forensics, network forensics, email forensics e più in generale digital forensics sui dispositivi forniti dalle vittime dello stalking, mostrando come numerose tracce dell’hacker sono state rinvenute in particolare su di uno smartphone.

Le Iene e l'hacker dell'autoscuola con la perizia informatica della società d'informatica forense Forenser Srl

Ricordiamo che in tutti i casi nei quali sono necessari accertamenti su dispositivi mobili o fissi (smartphone, notebook, PC, etc…) è importante rivolgersi a società che si occupano d’informatica forense come la Forenser Srl o lo Studio d’Informatica Forense per cristallizzare le evidenze digitali e produrre analisi tecniche che conducano a una perizia informatica forense.

Per chi avesse curiosità di visionare le tre puntate della serie dell’hacker dell’autoscuola, dove ho avuto l’opportunità di collaborare come perito informatico forense per Le Iene, sono disponibili ai seguenti link sul sito Mediaset:

Poiché il servizio per Le Iene sull’hacker della scuola guida ha sensibilizzato notevolmente il pubblico sulla protezione dei propri dati e dei propri dispositivi, ricordiamo che per difendersi da potenziali malware, virus, trojan o spy software, si possono seguire alcuni consigli, tra i quali ad esempio:

  • scegliere password non facili da indovinare, diverse tra loro e non condividerle;
  • aggiornare smartphone e tablet, incluse le App che non sempre si aggiornano automaticamente;
  • evitare di usare dispositivi troppo obsoleti che non possono essere aggiornati all’ultima versione di iOS o Android;
  • non installare App scaricate fuori dagli store ufficiali, come ad esempio APK che si trovano online o vengono riportati su siti web o SMS ricevuti;
  • non fidarsi di email, SMS, Whatsapp che suggeriscono di cliccare su link o installare App;
  • prestare attenzione alle notifiche di richiesta dei permessi per accedere ad audio, video, GPS, etc…
  • utilizzare un secondo fattore di autenticazione (es. Google Authenticator, SMS, Whatsapp, meglio ancora Yubikey o chiavetta U2F) ove possibile non sullo stesso dispositivo che s’intende proteggere;
  • evitare rooting o jailbreak;
  • attivare l’opzione di protezione avanzata per gli account Apple (Advanced Data Protection) e Google (Advanced Protection Program);
  • in caso di dubbi sulla potenziale compromissione del proprio dispositivo Apple, abilitare l’opzione “Lockdown” su iPhone
  • installare antivirus, antimalware, anche su dispositivi Android o Apple e non solo su PC.

Informatica Forense al Corso di Alta Formazione Federpol 2024

Dopo il successo ottenuto lo scorso anno, tra ottobre e novembre del 2024 si terrà, in parte online e in parte in presenza a Roma, la seconda edizione del Corso di Alta Formazione Federpol “Strumenti e Tecniche per l’Investigatore 3.0”.

Corso di Alta Formazione Federpol 2024

Il corso intensivo, valido ai sensi del D. 269/2010 per l’istanza di prosecuzione di attività di certificazione Universitaria, si suddivide in 2 fine settimana di attività didattica da 45 minuti ciascuna con i professionisti selezionati tra i migliori a livello nazionale per parlare trattare differenti tematiche: dalle fasi operative dell’attività di investigazione privata con la disamina delle sentenze più significative ed i provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali; il nuovo mandato investigativo aggiornato e adeguato alla normativa in essere; le regole deontologiche ed il trattamento e la conservazione dei dati; O.S.INT.; Web e Darkweb; analisi dei Social; intervista a persona informata dei fatti e tecniche di colloquio (intervista cognitiva e analisi del comportamento non verbale); analisi delle celle telefoniche, come verificare l’originalità di un file audio, fotografie strumenti, verifica, compromissione e studio; GPS, software, strumenti e corretta metodologia, anonimizzazione e codifica dei file; dalla scena del crimine al dibattimento attraverso l’analisi di tutte le opportunità delle Indagini Difensive; analisi di laboratorio; ruolo dell’investigatore privato; l’importanza dell’informazione tecnica nel processo penale; i limiti e le criticità delle indagini scientifiche forensi; armi, traiettorie e ricostruzioni degli eventi delittuosi; le regole deontologiche per le Indagini Difensive, le Indagini Difensive a supporto delle aziende e, infine, l’analisi degli errori giudiziari e la revisione del processo.

In dettaglio, gli argomenti trattati nel Corso di Alta Formazione organizzato da Federpol a Roma e da remoto sono i seguenti:

  • fasi operative dell’attività di investigazione privata con la disamina delle sentenze più significative ed i provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali;
  • nuovo mandato investigativo aggiornato e adeguato alla normativa in essere;
  • regole deontologiche ed il trattamento e la conservazione dei dati;
  • OSINT; Web e Darkweb; analisi dei Social;
  • intervista a persona informata dei fatti e tecniche di colloquio (intervista cognitiva e analisi del comportamento non verbale);
  • analisi delle celle telefoniche, come verificare l’originalità di un file audio, fotografie strumenti, verifica, compromissione e studio; GPS, software, strumenti e corretta metodologia, anonimizzazione e codifica dei file;
  • la scena del crimine al dibattimento attraverso l’analisi di tutte le opportunità delle Indagini Difensive;
  • analisi di laboratorio;
  • l’importanza dell’informazione tecnica nel processo penale;
  • i limiti e le criticità delle indagini scientifiche forensi; armi, traiettorie e ricostruzioni degli eventi delittuosi;
  • le regole deontologiche per le Indagini Difensive, le Indagini Difensive a supporto delle aziende e, infine, l’analisi degli errori giudiziari e la revisione del processo
  • Come analizzare Audio con l’utilizzo di Software e come verificare originalità di un file audio tramite perizia fonica;
  • Come reperire un nominativo da un numero di telefono mobile, come localizzare un soggetto sul web, come rintracciare informazioni su una, persona attraverso ricerche nel web, Come muoversi anonimamente su web, analisi dei Social
  • Informatica forense, aspetti tecnici e giuridici dell’acquisizione della prova digitale tramite copia forense, compromissione dei file e loro veridicità, verifica eventuali fotomontaggi o alterazioni tramite perizia informatica sulle prove digitali
Informatica Forense con Paolo Dal Checco al Corso di Alta Formazione Federpol

Il Direttore del Corso di Alta Formazione Federpol è il Prof. Roberto MUGAVERO (Presidente OSDIFE CBRNe) e i docenti chiamati a tenere le lezioni sono il Gen. Luciano Garofano, il Dott. Paolo Dal Checco, il Dott. Pasquale Linarello, il Col. Salvino Paternò, il Prof. Antonello Madeo, Matteo Vinci, l’Avv. Marco Martorana, il Prof. Ugo Terracciano, Marco Perino, il Dott. Stefano Cimatti, la Dott.ssa Anna F. Dinella, la Dott.ssa Viviana Lamarra, il Prof. Roberto Mugavero.

La prova informatica nei processi civili e penali riformati – Ordine degli Avvocati di Torino

Martedì 1 ottobre 2024 si terrà dalle ore 10 alle 13 – presso il Palazzo Capris, Fondazione Fulvio Croce, Via Santa Maria 1, Torino – il seminario intitolato “La prova informatica nei processi civili e penali riformati – Il dovere di verità dell’Avvocato”.

Durante il seminario, organizzato dalla Commissione Informatica dell’Ordine degli Avvocati di Torino, darò il mio contributo informatico forense con una relazione sulle prove informatiche forensi, la loro validità scientifica nel processo, le modalità di acquisizione forense e gli errori tipicamente commessi in ambito civile e penale per la produzione delle evidenze digitali.

Prova Informatica nei Processi Civili e Penali

Come consulente informatico forense, il mio ruolo è quello di CTP informatico in diversi procedimenti penali e civili in affiancamento a Studi Legali e Avvocati, oltre che CTU Informatico per Giudici e Consulente Tecnico di Pubblici Ministeri. Il mio intervento durante il seminario prenderà spunto da queste attività di perizia informatica per enunciare i princìpi di acquisizione forense della prova digitale – nota anche come “copia forense“) e mettere in guardia i legali partecipanti all’evento circa gli errori che più spesso vedo commettere da parte dei non addetti ai lavori.

ll programma della sessione mattutina del seminario organizzato dal COA Torino della conferenza vedrà l’intervento dei seguenti relatori:

  • Dott. Paolo Dal Checco (consulente informatico forense)
  • Avv. Laura Garbati – Manuela Monti – Filippo Perlo (commissione informatica COA Torino)
  • Avv. Marco Ciurcina (consigliere COA Torino)

Nel pomeriggio il seminario proseguirà con la trattazione circa “Le specifiche tecniche per il processo telematico civile e penale – analisi, casistica e criticità” a cura dei seguenti relatori:

  • Avv.ti Andrea Ricuperati – Amanda Paschetta – Massimo Davi (commissione informatica COA Torino)
  • Avv. Giuseppe Vitrani (consigliere COA Torino)

La partecipazione alla giornata è titolo per l’attribuzione di 2 crediti formativi, di cui 1 in deontologia, per la partecipazione a ogni singola sessione formativa

Anche durante la giornata successiva di mercoledì 2 ottobre 2024 l’evento avrà una prosecuzione con un intervento dalle ore 10 alle 13 sul “r”Recepimento della Direttiva NIS2 e l’applicazione della legge 90/2024 – Problematiche per gli Enti Pubblici” da parte dei seguenti relatori:

  • Avv.ti Laura Garbati – Giuseppe Vitrani (commissione informatica COA Torino)
  • Avv. Marco Briccarello (commissione diritto amministrativo COA Torino)

Durante la giornata di mercoledì 2 ottobre i relatori affronteranno i seguenti temi:

  • ambito di applicazione e perimetro degli enti pubblici coinvolti
  • governo della cybersecurity – le nuove figure di soggetti responsabili la gestione degli appalti pubblici – requisiti dei fornitori
  • nuovi obblighi all’orizzonte per gli Ordini Professionali?

La partecipazione a questo evento è titolo per l’attribuzione di 3 crediti formativi.

Per gli avvocati è obbligatoria l’iscrizione sulla piattaforma “Riconosco”, è possibile l’iscrizione anche a una singola sessione o seguire l’evento da remoto su piattaforma Zoom al link visibile su “Riconosco” ai soli prenotati. L’attribuzione dei crediti formativi ai partecipanti da remoto avverrà a seguito della risposta a un sondaggio che verrà visualizzato durante l’evento

La locandina dell’evento COA – incluse le due giornate di martedì 1 e mercoledì 2 ottobre 2024 – che si terrà a Torino è scaricabile/visionabile dal seguente link.

prova-informatica-dovere-verita-avvocatoDownload

Intervista al TG1 sulla sicurezza informatica di Telegram

Oggi è andato in onda su RaiUno, al TG1 Mattina Estate, un servizio su Telegram, gli aspetti di sicurezza informatica della piattaforma di instant messaging e social network Telegram e sulla vicenda che ha riguardato il suo fondatore Pavel Durov.

All’interno del servizio del TG1 andato in onda su RaiUno è presente una mio piccolo intervento sulle questioni tecniche che differenziano Telegram dalle altre piattaforme come Whatsapp, Facebook, Instagram, TikTok, etc… e che hanno probabilmente contribuito alla vicende giudiziarie di cui il fondatore della piattaforma è stato protagonista qualche giorno fa in Francia.

Telegram risulta particolarmente interessante per chi cerca anonimato perché permette di slegare l’utenza dal proprio numero di telefono o indirizzo di posta elettronica, permette l’utilizzo tramite proxy/vpn/Tor e non risente di censura, richieste giudiziarie, sequestri e chiusure di utenze, gruppi e canali dato che la politica della piattaforma è quella di non interferire con la libertà di espressione degli utenti.

A questo si aggiunge il fatto che Telegram non abilita di default la cifratura end-to-end sulle chat, non ne permette l’attivazione sui gruppi e mantiene tutti i dati non cifrati end-to-end sui propri server. In informatica forense, questo aspetto implica una maggior difficoltà di accesso ai dati locali sui dispositivi durante la copia forense, dato che non esiste un database completo ma le chat Telegram sono localmente presenti in una sorta di “cache” che mantiene gli ultimi messaggi o quelli comunque visionati dall’utente.

TG1 Estate Mattina - Telegram, sicurezza e informatica forense

Durante le perizie informatiche, la piattaforma Telegram è spesso protagonista di analisi forense dato che presenta questioni complesse legate alla cifratura delle comunicazioni, al cloud, all’accesso al database. Le indagini digitali tramite tecniche d’informatica forense su Telegram sono quindi particolarmente complesse perché si uniscono diverse problematiche, oltre alla cifratura e all’anonimato, rendendo quindi piuttosto complessa l’identificazione dei soggetti, la loro utenza, indirizzi IP e men che meno possibili elementi anagrafici.

Durante la breve intervista al TG1 ho presentato, in poche parole, le questioni relative alla cifratura e all’archiviazione che possono aver – a mio avviso – influito nella decisione della Francia di fermare il fondatore della piattaforma quantomeno per chiarimenti o richieste di collaborazione.

Il servizio del TG1 Mattina Estate su Telegram e Pavel Duro è visionabile, previo accesso a RaiPlay, al link Telegram, le insidie dei social al minuto 54:38,